"한국인 것은 널렸다" 떨이 판매…'다크웹' 올라온 개인정보 충격

[어둠의 인터넷, 다크웹 ①] 이메일 아이디·패스워드부터 대출기록·유언장·경찰체포 기록까지 고스란히 거래

머니투데이는 국내 최대 화이트해커 전문그룹 SK쉴더스 EQST 전문가의 도움을 받아 다크웹에서 한국인들의 개인정보가 불법 유통되고 있는 모습을 확인했다. 사진은 한국인 6만2000여명의 콤보데이터(이메일 계정과 비밀번호 조합)를 담았다고 주장하는 텍스트 파일의 앞부분이다. 게시자의 텔레그램 아이디 등은 모자이크처리했다. / 사진=황국상기자

"12만5000명, 한국 데이터베이스 HQ, 콤보.TXT"(125k Korea Database hQ combo.txt)
"남한 6만2000명 콤보 데이터, 고퀄리티"(South Korea 62K, GREAT QUALITY)
"일본과 한국의 고소비 고소득 데이터 사세요"(Buy Japanese, Korean high-spending and high-income data)

다크웹 해커들이 데이터를 공유하거나 사고 파는 해킹 포럼 게시판에 접속해 'KOREA'라는 키워드로 검색하면 바로 보이는 문구들이다. '콤보 데이터'란 아이디와 비밀번호의 조합을 일컫는 은어(隱語)다. 한국인들의 개인정보는 수만, 수십만건 단위의 떨이로 묶여 판매된다. "한국인들의 개인정보는 하도 흔해서 다른 나라 사람들의 개인정보에 비해 훨씬 가격이 싸게 거래된다"라는 말이 있을 정도다.

━

'어둠의 인터넷' 다크웹, 어떤 곳?

━

대개 인터넷 공간을 '웹'(Web)이라고 통칭하지만 접근 용이성을 기준으로 서피스웹(Surface Web), 딥웹(Deep Web), 다크웹(Dark Web)으로 구분된다. 일반적으로 많이 사용하는 크롬(Chrome) 엣지(Edge) 사파리(Safari) 등으로 접속이 가능하면서도 구글, 네이버 등 검색엔진으로 찾아갈 수 있는 웹을 서피스웹, 즉 표면에 드러난 웹으로 분류한다. 딥웹은 로그인이나 결제 등의 추가 입력을 통해서만 접근가능한 영역을 일컫는다. 다크웹은 딥웹의 한 종류로 꼽히지만 토르(TOR)나 I2P 등 특수한 브라우저를 통해서만 접근가능한, 더욱 깊이 숨겨진 웹을 말한다.

다크웹과 딥웹, 서피스웹에 대한 개념도. 사진은 노드VPN(NordVPN) 홈페이지 캡쳐

VPN(가상사설망) 업체인 노드VPN(NordVPN)에 따르면 다크웹은 1999년 이안 클라크(Ian Clarke)가 분산화된 P2P(개인간 거래) 파일 공유 프로그램을 개발하기 위해 만들어졌다. 이후 온라인상 표현의 자유를 보장하는 공간으로 자리매김했다. 약 2009년쯤부터 비트코인 등 가상자산(암호화폐) 사용이 확산되며 불법 행위를 위해 다크웹을 사용하는 이들도 늘어났다. 노드VPN은 "다크웹에서는 사용자가 익명성을 유지하기 훨씬 쉽기 때문에 사기나 해킹 등 범죄가 발생하는 경우 범죄자가 누구인지 특정하기 상당히 어렵다"며 "자신의 신원을 숨길 수 있다는 특징 때문에 다양한 불법 행위가 발생하고 있다"고 설명했다. 마약 등 불법적인 물품을 음성적으로 거래하거나 아동·여성을 대상으로 한 성착취물을 거래하거나 살인·폭력 등을 공모하거나 사주하는 행위 등이 다크웹에서 이뤄졌다. 한국인 223명을 포함해 337명이 연루됐던 아동 성범죄물 공유 사이트 '웰컴투코리아'의 일당들은 32개국 수사 공조를 통해 일망타진되기도 했다.

노드VPN은 "다크웹이라고 하면 방대한 불법 네트워크를 상상하는 사람들이 많지만 사실 알려진 규모는 크지 않다"고 했다. 노드VPN은 미국 보안기업 레코디드퓨쳐(Recorded Future)를 인용해 다크웹 토르 웹사이트로 접속할 수 있는 '.onion' 도메인 사이트의 수는 5만5000개로 이 중 8400개 정도만 활성화돼 있다고 전했다. 상당 수 사이트들이 오픈됐다가 금세 방치되거나 각국 수사당국에 의해 폐쇄되는 등 변수로 제대로 운영되지 못하기 때문이다. 노드VPN은 "다크웹의 도메인은 일정하지 않고 새로운 사이트들이 생겨나고 사라지기 때문에 정확한 규모를 추적하기는 어렵다"고 했다. 구글은 고객센터 홈페이지를 통해 "인터넷의 90% 가량이 딥웹에 포함되지만 다크웹으로 분류되는 인터넷은 0.01%도 안된다"고 밝혔다.

다크웹 공간 중에서도 토르 브라우저로 접속할 수 있는 사이트 주소는 오니언(.onion)이라는 주소 문자열이 붙는다. 크롬, 엣지 등 일반 웹사이트의 주소가 '닷컴'(.com) 또는 '.co.kr' 등 표준화된 형태로 끝나는 것과 다르다. 'onion' 앞에 붙는 주소 문자열이 50개 또는 60개의 알파벳과 숫자 등으로 구성된, 난수표처럼 보이는 복잡한 문자열이 붙는다. 아는 사람만 찾아갈 수 있는 주소인 셈이다.

━

메일 ID·PW 비롯, 유언장·대출서류까지 고스란히 팔린다

━

랜섬웨어 조직 락빗(Lockbit)이 미국 모 로펌에서 탈취한 자료를 판매하거나 공개하겠다고 올린 게시물을 캡쳐한 것이다. 1000여명 이상 고객의 민감 정보를 판매하겠다는 설명과 함께 데이터 공개시간 연장, 데이터 완전 삭제, 데이터 다운로드 등에 필요한 비용을 알리는 내용이 적혀 있다. 회사 이름과 공개된 샘플의 민감정보 부분은 모자이크 처리했다. / 사진제공=SK쉴더스

머니투데이는 국내 최대 규모 화이트해커 전문그룹인 SK쉴더스 EQST(이큐스트) 전문가의 도움을 받아 국내외 기관·조직에서 해킹 등 방식으로 탈취된 데이터들이 어떻게 거래되고 공개되는지 확인했다. SK쉴더스는 랜섬웨어 대응의 일환으로 다크웹 공간에 대한 모니터링을 수시로 진행 중이다. 이 회사에서 매달 무료로 랜섬웨어 및 다크웹 모니터링 정보를 뉴스레터 형태로 제공하는 곳이 바로 EQST다.

다크웹에 개설된 각종 해킹포럼 등 게시판에 돌아다니는 한 텍스트파일(.txt)에는 대검찰청(sppo.go.kr) 특허청(kipo.go.kr) 관세청(customs.go.kr) 금융감독원(fss.or.kr) 한국은행(bok.or.kr) 등 정부·공공기관을 비롯해 한국전력(kepco.co.kr) 한화(hanwha.co.kr) 등 민간기업, 서울대(snu.ac.kr) 고려대(korea.ac.kr) 이화여대(ewha.ac.kr) 등 주요 학교 등 계정의 이메일 아이디와 비밀번호가 고스란히 담겨 있었다.

이렇게 탈취된 이메일과 비밀번호는 후속 공격에 쓰일 수 있다. 한번 탈취한 아이디와 비밀번호를 다른 사이트에도 대입해 로그인한 후 추가적인 개인정보 탈취를 시도하는 '크리덴셜 스터핑'(Credential Stuffing) 공격을 하는 이들이 주로 사간다. 실제 지난해 워크넷을 운영하는 한국고용정보원 및 한국장학재단 등 국내 공공기관이 알고리즘을 이용한 크리덴셜 스터핑 공격을 받아 약 27만건에 달하는 개인정보가 유출되는 피해를 입은 바 있다.

그나마 이메일과 비밀번호만 적혀 있는 경우는 상황이 나은 경우였다. 세계 최대 랜섬웨어 조직으로 꼽히는 락빗(Lockbit)이 개설한 블로그에는 이 조직이 침투해 확보한 전 세계 수백여 기업·기관들의 데이터들이 흥정 대상으로 올라와 있었다. 그 중에 전체 공개가 임박한 데이터로는 미국 소재 한 로펌의 정보가 눈에 띄었다. 400GB(기가바이트)에 이르는 데이터는 1000명 이상의 고객 정보를 담고 있었다. 고객의 대출 계약서나 부동산 거래 서류, 유언장, 경찰 체포 보고서, 재판 서류 등 당사자 사진이 포함된 민감 정보를 담은 자료들이 아무런 블러링(흐림 처리) 또는 마스킹(가림 처리) 없이 고스란히 공개된 점이 충격적이었다.

이 로펌과 관련해 락빗은 5000달러(약 664만원)를 내면 데이터 전면 공개를 24시간 연장해주겠다고 제안한다. 5만9999달러(약 7900만원)를 내는 이에게는 해당 로펌의 데이터를 언제든 다운로드할 수 있는 권한을 부여하거나 아예 데이터를 전부 삭제하겠다고 홈페이지에 써뒀다. 물론 이들이 약속을 지킬지 안지킬지는 모를 일이다. 실제 랜섬웨어 조직에게 돈을 주고도 데이터를 회수하거나 삭제하지 못하는 경우가 종종 있는 것으로 알려졌기 때문이다.

이같은 엄포가 얼마나 정확한 것인지에 대해서는 불명확한 경우가 많다. 다크웹에 올라오는 정보의 종류도 많다. 정민수 SK쉴더스 EQST 수석은 "지난해 락빗이 국세청 내부 정보를 확보해 공개하겠다고 협박하기도 했지만 실제 아무런 정보가 올라오지 않았다"며 "기관·기업의 내부 데이터나 개인정보는 물론, 어떤 조직 시스템의 취약점을 어떻게 공략할 수 있는지 등 정보만 따로 파는 IAB(초기침투전문브로커)들의 데이터도 수시로 올라온다"고 설명했다.

황국상 기자 gshwang@mt.co.kr